Magento と TrojanOrders 攻撃:脆弱性 CVE-2022-24086 未パッチ・サイトが標的

Magento stores targeted in massive surge of TrojanOrders attacks

2022/11/16 BleepingComputer — Magento 2 を用いる Web サイトを標的とした、TrojanOrders 攻撃が急増している。脆弱性を悪用して脆弱なサーバを侵害する、少なくとも7つのハッキング・グループが背後にいるとされている。Web サイト・セキュリティ会社である Sansec は、Magento 2 Web サイトの約 40%が、この攻撃の標的になっていると述べている。さらに、感染させたサイトの制御をめぐって、ハッキング・グループが互いに争っていると警告している。


オンライン・ストアの Web サイトに悪意の JavaScript コードを注入するために、それらの攻撃は行われており、ブラック・フライデーやサイバー・マンデーといった繁忙期に、eコマース・ビジネスに大きな支障が生じ、顧客のクレジット・カードが大量に盗まれる可能性がある。この傾向は、オンライン・ショップが最も利用され、また、最も脆弱な時期となる、クリスマスに向けても続くと予想されている。

Source: Sansec


TrojanOrders 攻撃について

TrojanOrders は、Magento 2 の深刻な脆弱性 CVE-2022-24086 を悪用する攻撃の名称であり、認証されていない攻撃者がパッチ未適用の Web サイト上で、任意のコードが実行され、RAT (Remote Access Trojans) が注入されるというものだ。

Adobe は、2022年2月に CVE-2022-24086 を修正しているが、Sansec によると、多数の Magento サイトがパッチ未適用の状態にあるという。Sansec は、「Magento と Adobe Commerce を用いるストアの、少なくとも 3分の1 は、依然としてパッチ未適用の状態だと推定される」と、新たなレポートで説明している。

TrojanOrders 攻撃を行うハッカーは、標的である Web サイトでアカウントを作成し、名前/VATなどのフィールドに、悪意のテンプレート・コードを埋め込んだ注文を送信するのが一般である。

The appearance of a malicious order on the backend
The appearance of a malicious order on the backend
Source: Sansec

たとえば、上記の攻撃では、サイト上に health_check.php ファイルのコピーが注入されるが、そこに含まれるのは、POST リクエストで送信されたコマンドを実行する PHP バックドアである。攻撃者は、Web サイトに足場を築いた後に、リモート・アクセス用のトロイの木馬をインストールし、恒久的なアクセスを確立し、複雑なアクションを実行する能力を持つ。

Sansec が観測した多くのケースでは、侵害時において攻撃者による health_check.php のスキャンが行われている。そして、他のハッカーによる感染の有無を判断し、もし感染しているなら、そのファイルを独自のバックドアに置き換えていくという。 最終的に攻撃者たちは、ショップで商品を購入する顧客の、個人情報やクレジット・カード番号を盗み出すための、悪意の JavaScript を取り込んだサイトへと修正を施していく。

長い時間を経た後に急増した理由は?

Sansec のアナリストは、この脆弱性を悪用する攻撃が急増している理由は、複数あると見ている。

第一に、パッチが提供されてから 10カ月が経過した現在でも、多数の Magento 2 サイトが、一連の攻撃に対して脆弱な状態にあることが挙げられる。

第二に、長期間に渡って PoC エクスプロイトが利用可能だったことで、それらを組み込んだエクスプロイト・キットが作成され、低スキルのハッカーに対する販売というビジネスが成立したことだ。

これらの Magento エクスプロイトの種類は極めて豊富であり、2022年初頭には $20,000〜$30,000 で売られていたものが、いまでは $2,500 にまで値下げされているという。

Magento 2 exploit sale from September 2022
Magento 2 exploit sale from September 2022
Source: Sansec

すでに、ホリデーシーズンによる Web サイト・トラフィックの増加が見られ、悪意の注文やコード・インジェクションが見過ごされやすく、これらの攻撃には理想的なタイミングであると言えるだろう。

あなたのサイトを、つまり顧客を守るには

脆弱性 CVE-2022-24086 に対応した、セキュリティ・アップデートが未適用の場合には、可能な限り迅速に対応してほしい。

さらに、注文内容を精査することで、注文フォームのテンプレート・コードや、Protonmail/Tutanota などを用いる匿名メール・アカウントでの注文といった、TrojanOrder 攻撃の兆候を見つけることが可能だ。最後に、バックエンドのマルウェア・スキャナーを用いて、サイトへの RAT インジェクションを行っていた、過去の感染の可能性を検出することも重要である。

Sansec によると、Magento の公式ツールである Security Scan は、フロント・エンドをスクレイピングするだけであり、TrojanOrders を捕捉できないとのことだ。そのため Sansec は、自社のスキャナーを1ヶ月間に渡り無料で提供し、管理者によるサイトの掃除を促している。

マルウェアと PHP バックドアを検出して削除しても、Magento 2 のパッチが未適用であれば、今後の感染を防げない。したがって、それが最も重要なステップであることを忘れないでほしい。

文中のチャートを見ると、ブラック・フライデーやサイバー・マンデーを照準を合わせて、Magento 2 を使用するサイトが狙われている状況がわかりますね。さらには、感染済のサイトの争奪戦も始まっているとのことです。小売業の方は、ご注意ください。よろしければ、9月22日の「Adobe Magento 2 の深刻な脆弱性 CVE-2022-24086:大規模な攻撃が発生」も、ご参照ください。

%d bloggers like this: